Factores crticos de la auditora informtica en Mxico El riesgo de sistemas puede ser definido como la incertidumbre relacionada con el uso

de sistemas de informacin, y que pueda resultar en prdida o destruccin de software, hardware, informacin o datos. Las causas que comprometen al riesgo de sistemas pueden ser de origen natural, as como intencional, por lo que se desprenden dos dimensiones del mencionado riesgo: la probabilidad relacionada con un evento no deseado, y las consecuencias (usualmente financieras) de la ocurrencia de dicho evento. (Salmela, 2008). La auditora informtica es la parte esencial de la auditora que debe abarcar las reas de controles de la organizacin, controles sobre el desarrollo de los sistemas y su documentacin, controles sobre el software y hardware, controles de acceso y controles sobre los procedimientos y los datos. (Guevara & Pea, 1996). En los Estados Unidos, los Estndares de Auditora (Statement of Auditing Standards, SAS) proporcionan directrices acerca de los procedimientos de auditora, incluyendo aspectos de revisin cuando la compaa que se audita utiliza un sistema electrnico para el manejo de sus operaciones. En especfico, el SAS No. 48, habla de los efectos en los estados financieros de la informacin procesada por computadora. Los sistemas de informacin deben ser utilizados en favor del auditor como una herramienta en sus labores, el desarrollo de portafolios de control desde la planeacin de la auditora representa una accin indispensable para asegurar el xito en la implementacin. Usualmente dichos portafolios contienen las listas informacin sujeta a riesgo, contraseas, usuarios, lista de transacciones no autorizadas, etc. De acuerdo a Yang & Guang (2004), el auditor debe considerar los siguientes factores al momento de realizar una auditora de sistemas: - El grado en que el sistema de informacin es utilizado para procesar las transacciones contables. - La complejidad de las operaciones de la empresa manejadas por el sistema. - La estructura organizacional respecto a los sistemas de informacin y su relacin con las actividades contables. - La disponibilidad de la informacin, en caso de que cierta informacin solamente se encuentre disponible por un corto periodo de tiempo.

- La utilizacin de tcnicas de auditora informtica como parte de los procedimientos regulares de control interno. Existen estndares que sirven de referencia al momento de la determinacin de los controles internos, uno de los ms importantes es el informe COSO. El informe COSO (Commitee of Sponsoring Organizations) es una herramienta muy eficiente para el anlisis de los controles internos. De acuerdo al trabajo de Janvrin, Payne, Byrnes, Schneider & Curtis (2012), dicho informe abarca los siguientes aspectos: Ambiente de control. o La organizacin demuestra compromiso con la tica y los valores positivos. o El consejo demuestra independencia con respecto a la determinacin de controles internos. o La organizacin demuestra el compromiso relacionado con el desarrollo y promocin de los individuos que la conforman. Evaluacin de riesgos. o La organizacin establece objetivos claros de tal manera que se puedan determinar los riesgos inminentes en el camino a lograr dichos objetivos. Actividades de control. o La organizacin desarrolla planes de control que contribuyen a la mitigacin del riesgo en el camino a lograr los objetivos trazados. Informacin y comunicacin. o La organizacin desarrolla procedimientos de comunicacin eficaces y oportunos. Supervisin. o La organizacin evala los procedimientos de control interno para asegurar su eficiente funcionamiento. o La organizacin evala y comunica de manera oportuna a los responsables pertinentes cualquier deficiencia en la aplicacin de los controles internos.

Debido a la creciente utilizacin de sistemas cada vez ms complejos, la evidencia emprica sugiere emplear a especialistas en sistemas para realizar cuestionamientos acerca de cmo las transacciones son iniciadas, registradas y procesadas, y cmo el sistema de la empresa asegura el apego de dichos procedimientos a los controles internos de la compaa (Janvrin, Bierstaker, & Lowe, 2009). Esto ha desatado una corriente de pensamiento acerca de la profesin del auditor de sistemas. En diversas instituciones

educativas, los programas curriculares de las licenciaturas en sistemas, llevan asignaturas relacionadas especficamente con la auditora de sistemas, mientras que aquellos currculos de las carreras contables llevan los temas de auditora informtica solamente como una parte de los cursos de auditora. Es necesario desarrollar en el contador pblico, competencias relacionadas con el tema en cuestin para lograr incrementar la empleabilidad del contador pblico tanto en empresas como en firmas de auditora, al momento de requerir las mencionadas habilidades. Por otro lado, el trabajo de Nearon (2005), menciona que entre el 60% y el 80% de las habilidades necesarias para manejar software de auditora informtica ya son utilizadas por los empleados de las firmas de auditora. La prctica de la profesin contable incluye poner en prctica de manera ptima todas las actividades de las diferentes ramas de la contadura. Resulta muy importante para el desarrollo de controles internos, que la persona conozca acerca del flujo contable de los recursos en riesgo, as como del impacto financiero de las posibles faltas a los controles. A diferencia de los licenciados en sistemas, el contador pblico cuenta con las competencias necesarias para analizar los esquemas mencionados anteriormente de una manera eficiente y profesional. (Curtis & Viator, 2001). El trabajo de Moorty, Mohamed, Gopalan & Har San (2011), resume en el siguiente esquema las actividades involucradas en la implementacin de la auditora de sistemas, mismas que deben estar contempladas en el plan de auditora, y soportadas tanto por la direccin de la empresa involucrada, como por la firma de auditora encargada de la revisin.
Identificar directrices para llevar a cabo mejores prcticas. Uso de las TIs en la Auditora Interna

Software y hardware para asistir el proceso de auditora.

Estndares de auditora para mitigar el riesgo.

Responsabilidades del auditor interno Competencias necesarias.

Fuente. (Moorthy, Mohamed, Gopalan, & Har San, 2011).

Referencias bibliogrficas.
Curtis, M., & Viator, R. (2001). Auditors' multidimensional knowledge structure and computer performance. Journal of Accountancy, 98. Guevara, A., & Pea, E. (1996). Auditora informtica: Normas y documentacin. Cuadernos, 31-41. Janvrin, D., Bierstaker, J., & Lowe, J. (2009). An investigation of factors influencing the use of computer-related audit procedures. Journal of Information Systems., 97-118. Janvrin, D., Payne, E., Byrnes, P., Schneider, G., & Curtis, M. (2012). The updated COSO Internal Control - integrated framework: recommendations and opportunities for future research . Journal of Information Systems, 189-213. Moorthy, K., Mohamed, S., Gopalan, M., & Har San, L. (2011). The impact of information technology on internal auditing. African Journal of Business Management., 3523-3539. Nearon, B. (2005). Foundations in auditing and digital evidence. The CPA Journal, 32-34. Salmela, H. (2008). Analysing business losses caused by information systems risk: a business process analysis apporach. Journal of Information Technology, 185-202. Shaikh, J. (2005.). E-commerce impact: emerging technology - electronic auditing. Managerial Auditing Journal., 408-421. Siponen, M. (2005.). An analysis of the traditional IS security approaches: implications for research and practice. European Journal of Information Systems., 303-315. Weidenmier, M., & Ramamoorti, S. (2006). Research opportunities in information technologies and internal auditing. Journal of Information Systems, 205-219. Yang, D., & Guan, L. (2004). The evolution of IT auditing and internal control standards in financial statements audits. The case of the United States. Managerial Auditing Journal, 544-555.